WSL2 沙盒中安全防火墙配置：仅允许指定网站访问

WSL2 沙盒中的防火墙配置指南：阻止所有流量，仅允许指定的网站

引言

如果您正在使用 Windows 10，并希望加强 WSL2 环境的安全性，您可能会面临防火墙规则配置的挑战。本指南将引导您完成设置防火墙规则的整个过程，该规则将阻止 WSL2 的所有入站和出站流量，同时允许从指定网站进行通信，以确保 Ubuntu 更新。

问题概述

默认情况下，WSL2 没有防火墙规则，这可能会使您的系统容易受到恶意攻击。为了解决此问题，我们需要创建定制的防火墙规则来限制网络流量。然而，由于 WSL2 的特性，标准的 Windows 防火墙规则不起作用。

解决方案

我们的解决方案是创建一个脚本，该脚本将使用 PowerShell 函数创建特定于 WSL2 的防火墙规则。此脚本将执行以下步骤：

• 获取 WSL2 接口的 IP 地址。
• 创建防火墙规则以阻止 IP 地址的所有入站和出站流量。
• 根据白名单创建防火墙规则，允许从特定网站进行通信。

脚本详细信息

# 脚本内容

此脚本包含两个关键函数：

• Create-FirewallRule ：此函数创建一个防火墙规则，阻止 IP 地址的所有入站和出站流量，并允许从白名单中指定的网站进行通信。
• Get-WSL2Interface ：此函数获取 WSL2 接口的 IP 地址。

使用脚本

要使用该脚本，请按照以下步骤操作：

1. 将脚本保存为 .ps1 文件。
2. 在 PowerShell 中运行脚本。
3. 输入您的 WSL2 接口别名。

脚本将查找 WSL2 接口的 IP 地址，并使用该 IP 地址创建防火墙规则。

Ubuntu 更新白名单

为了确保 Ubuntu 可以通过防火墙接收更新，需要将以下网站添加到白名单中：

• archive.ubuntu.com
• security.ubuntu.com
• ppa.launchpadcontent.net

通过将这些网站添加到脚本的 $allowedSites 数组中，您可以允许 Ubuntu 从这些网站进行更新。

常见问题解答

问：为什么我的 WSL2 仍然无法访问 Internet？

答：确保已将所有必要的网站添加到白名单中，并且脚本已正确运行。

问：如何修改防火墙规则？

答：您可以通过 PowerShell 使用 netsh 命令来修改或删除防火墙规则。

问：如何禁用防火墙规则？

答：要禁用防火墙规则，请使用 netsh 命令将该规则的状态设置为 "禁用"。

问：为什么我的 WSL2 实例无法解析 DNS 名称？

答：请确保已将 8.8.8.8 和 172.29.144.1 添加到脚本的 $allowedSites 数组中，以允许 DNS 通信。

问：是否有其他锁定 WSL2 环境的方法？

答：除了防火墙规则之外，还有其他方法可以锁定 WSL2 环境，例如启用 Hyper-V 隔离和使用 SELinux。

结论

通过使用本指南中提供的脚本，您可以有效地配置 WSL2 的防火墙规则，阻止所有流量，同时允许从指定网站进行通信，从而确保 Ubuntu 更新和环境安全性。